Snort的配置与使演示课件

合集下载

snort配置介绍

一、设置网络变量1、网络变量配置用户通过声明网络参数变量配置snort，variables可以包含字符串（路径）、IP和端口。

1）IP变量与IP列表IP有四声明方式：对IP具体声明、列表形式以及CIDR组，或者它们的任意组合。

IP变量以ipvar关键字声明。

示例：ipvar EXAMPLE [1.1.1.1,2.2.2.0/24,![2.2.2.2,2.2.2.3]]2）端口变量与列表端口列表支持端口声明及查找端口列表范围。

端口范围从0到65535.端口变量以portvar声明，示例：portvar EXAMPLE1 80portvar EXAMPLE3 anyportvar EXAMPLE4 [!70:90]portvar EXAMPLE5 [80,91:95,100:200]portvar pvar1 80portvar pvar2 [$pvar1,90]alert tcp any $EXAMPLE1 -> any $EXAMPLE2_PORT (msg:"Example"; sid:1;)alert tcp any $PORT_EXAMPLE2 -> any any (msg:"Example"; sid:2;)alert tcp any 90 -> any [100:1000,9999:20000] (msg:"Example"; sid:3;)配置服务器列表DNS服务：var DNS_SERVERS $HOME_NETSMTP服务：var SMTP_SERVERS $HOME_NETWeb 服务：var HTTP_SERVERS $HOME_NETSQL服务：var SQL_SERVERZ $HOME_NETTelnet服务：var TELNET_SERVERS $HOME_NETFTP服务：var FTP_SERVERS $HOME_NETSNMP服务：var SNMP_SERVERS $HOME_NET配置服务端口这使得snort去跟踪针对特点端口应用的攻击，如web server在端口8180上，则应这样配置：portvar HTTP_PORTS 8180不过这个值通常为80，因此定义为：portvar HTTP_PORTS 80如果希望定义多HTTP端口：portvar HTTP_PROTS [80,8080] 或者portvar HTTP_PROTS[80,8000:8080]eg：定义希望发现SHELLCODE的端口：portvar SHELLCODE_PORTS !80可能发现对ORACLE的攻击：portvar ORACLE_PORTS 1521针对FTP服务的端口：portvar FTP_PORTS 21配置rules文件路径这个可以是一个相对路径var RULE_PATH /etc/snort/rulesvar PREPROC_RULE_PATH /etc/snort/preproc_rules二、配置解码器解码器解码是数据包进入snort的第一个处理过程。

Snort入侵检测系统的配置与使用

贵州大学实验报告学院：计信学院专业：班级:（10 ）测试snort的入侵检测相关功能实（1）装有Windows2000 或WindowsXP 操作系统的PC机；验（2）Apache_2.0.46、php-4.3.2、snort2.0.0、Mysql 、adodb、acid、jpgraph 库、仪win pcap 等软件。

器（1）Apache_2.0.46 的安装与配置（2）php-4.3.2 的安装与配置（3）sn ort2.0.0 的安装与配置实（4）Mysql数据库的安装与配置验（5）adodb的安装与配置步（6）数据控制台acid的安装与配置骤（7）jpgraph 库的安装（8）win pcap的安装与配置（9）snort规则的配置（10 ）测试snort的入侵检测相关功能（一）windows 环境下snort 的安装实1、安装 Apache_2.0.46验（1）双击 Apache_2.0.46-win32-x86-no_src.msi ，安装在默认文件夹C:\apache 内下。

安装程序会在该文件夹下自动产生一个子文件夹apache2 。

容Php)3、安装 snort安装snort-2_0_0.exe , snort 的默认安装路径在 C:\snort安装配置Mysql 数据库(1)安装Mysql 到默认文件夹 C:\mysql ，并在命令行方式下进入C:\mysql\bin ,输入下面命令： C:\mysql\bin\mysqld - install 这将使 mysql 在 Windows 中以服务方式运行。

(2)在命令行方式下输入 net start mysql ，启动mysql 服务(3 )进入命令行方式，输入以下命令 C:\mysql\b in> mysql -u root -p如下图:出现Enter Password 提示符后直接按"回车”，这就以默认的没有密码的 root 用户登录mysql 数据库。

实训-Snort安装与配置

Snort安装与配置Snort是免费NIPS及NIDS软件，具有对数据流量分析和对网络数据包进行协议分析处理的能力，通过灵活可定制的规则库(Rules)，可对处理的报文内容进行搜索和匹配，能够检测出各种攻击，并进行实时预警。

Snort支持三种工作模式：嗅探器、数据包记录器、网络入侵检测系统，支持多种操作系统，如Fedora、Centos、FreeBSD、Windows等，本次实训使用Centos 7，安装Snort 2.9.11.1。

实训任务在Centos 7系统上安装Snort 3并配置规则。

实训目的1．掌握在Centos 7系统上安装Snort 3的方法；2．深刻理解入侵检测系统的作用和用法；3．明白入侵检测规则的配置。

实训步骤1．安装Centos 7 Minimal系统安装过程不做过多叙述，这里配置2GB内存，20GB硬盘。

2．基础环境配置根据实际网络连接情况配置网卡信息，使虚拟机能够连接网络。

# vi /etc/sysconfig/network-scripts/ifcfg-eno16777736TYPE="Ethernet"BOOTPROTO="static"DEFROUTE="yes"IPV4_FAILURE_FATAL="no"NAME="eno16777736"UUID="51b90454-dc80-46ee-93a0-22608569f413"DEVICE="eno16777736"ONBOOT="yes"IPADDR="192.168.88.222"PREFIX="24"GATEWAY="192.168.88.2"DNS1=114.114.114.114~安装wget，准备使用网络下载资源：# yum install wget –y将文件CentOS-Base.repo备份为CentOS-Base.repo.backup，然后使用wget下载阿里yum 源文件Centos-7.repo：# mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup#wget –O /etc/yum.repos.d/CentOS-Base.repo /repo/Centos-7.repo更新yum源，并缓存：# yum clean all# yum makecache# yum -y update3．安装Snort安装epel源：# yum install -y epel-release安装依赖：经过前面的设置阿里源、源更升级后，将能够很顺利的安装完依赖。

windows下Snort的配置与使用

windows下Snort的配置与使用实验1：Snort的配置与使用1实验目的和要求学习Snort的配置与使用，要求：1）掌握Snort入侵检测环境的搭建；2）掌握Snort的配置与使用；3）熟悉Snort的工作原理。

2实验设备及材料1）系统环境：Windows XP/Windows 20032）软件安装：JDK：jdk-6u17-windows-i586.exe（可选）TOMCAT：apache-tomcat-5.5.30.exe（可选）MySQL：mysql-5.5.15-win32.msiWinPcap：WinPcap_4_1_2.exeSnort：Snort_2_9_1_Installer.exeIDSCenter：idscenter109b21.zip3实验内容3.1软件安装与配置3.1.1 JDK安装与配置软件版本：jdk-6u17-windows-i586.exe双击jdk-6u17-windows-i586.exe安装JDK，安装完后设置环境变量：变量名变量值java_home C:\Program Files\Java\jdk1.6.0_17classpath C:\Program Files\Java\jdk1.6.0_17\jre\libpath C:\Program Files\Java\jdk1.6.0_17\binjava –version // 查看软件版本信息，确定软件是否安装成功3.1.2 Tomcat安装与配置软件版本：apache-tomcat-5.5.30.exe、apache-tomcat-5.5.30-admin.zip 1）安装apache-tomcat-5.5.30.exe安装过程中会要求指定JRE的安装目录，确定端口，用户名和密码（用于可视化配置界面登录）。

启动Tomcat：验证安装是否成功：http://localhost:8088/http://127.0.0.1:8088/2）安装pache-tomcat-5.5.30-admin.zip首先解压apache-tomcat-5.5.30-admin.zip，用解压后的文件替换以下tomcat 文件。

实验8：入侵检测软件snort的安装与使用

实验八入侵检测系统snort的安装与使用一、实验序号：8二、实验学时：2三、实验目的（1）理解入侵检测的作用和检测原理。

（2）理解误用检测和异常检测的区别。

（3）掌握Snort的安装、配置。

（4）掌握用Snort作为基于主机的入侵检测系统(HIDS)的使用。

四、实验环境每2位学生为一个实验组，使用2台安装Windows 2000/XP的PC机，其中一台上安装Windows平台下的Snort 2.9软件；在运行snort的计算机上，安装WinpCap4.1.2程序。

五、实验要求1、实验任务（1）安装和配置入侵检测软件。

（2）查看入侵检测软件的运行数据。

（3）记录并分析实验结果。

2、实验预习（1）预习本实验指导书，深入理解实验的目的与任务，熟悉实验步骤和基本环节。

（2）复习有关入侵检测的基本知识。

六实验背景1 基础知识入侵检测是指对入侵行为的发现、报警和响应，它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或者系统中是否有违反安全策略的行为和被攻击的迹象。

入侵检测系统（Intrusion Detection System， IDS）是完成入侵检测功能的软件和硬件的集合。

随着网络安全风险系数不断揭帖，防火墙作为最主要的安全防范手段已经不能满足人们对网络安全的需求。

作为对防火墙极其有益的补充，位于其后的第二道安全闸门IDS能够帮助网络系统快速发现网络攻击的发生，有效扩展系统管理员的安全管理能力及提高信息安全基础结构的完整性。

IDS能在不影响网络及主机性能的情况下对网络数据流和主机审计数据进行监听和分析，对可疑的网络连接和系统行为进行记录和报警，从而提供对内部攻击、外部攻击和误操作的实时保护。

2 入侵检测软件Snort简介Snort是一款免费的NISD，具有小巧、易于配置、检测效率高等我，常被称为轻量级的IDS。

Snort具有实时数据流量分析和IP数据包日志分析能力，具有跨平台特征，能够进行协议分析和对内容的搜索或匹配。

windows下Snort的配置与使用

Snort的配置与使用

入侵检测技术
第六章 Snort的配置与使用
本章内容
Snort的安装与配置 Snort的总体结构分析 Snort的使用 Snort的规则使用Snort构建入侵检测系统实例
6.1 SNORT的安装与配置
3
一、Snort简介
1. Snort的组成
数据包解码器检测引擎日志和报警子系统
$ChartLib_path=”C:\php\jpgraph\src”;
配置并启动snort
打开C:\snort\etc\snort.conf文件，将文件中的下列语句： include classification.config include reference.config
四、Snort的配置
配置预处理器
是在基于规则的模式匹配之前运行的模块，通常为规则匹配进行一些前期的处理。如：IP分片重组（frag2）、TCP流重组(stream4) 、各种应用层解码等。根据需要配置，通常采用默认值.
配置输出插件
主要在报文匹配某条规则需要输出时，调用相应的输出插件。根据snort.conf说明进行相应配置。
<C:\snort\contrib\create_mysql
需要了解的Mysql命令：
显示数据库列表: show databases;
显示库中的数据表： use mysql; show tables;
建库与删库： create database 库名; drop database 库名;
定制snort规则集
#include <被包含文件的完整路径和文件名>
include $RULE_PATБайду номын сангаас/local.rules

snort01理解snort配置文件-PPT课件

•
定义和使用变量
• 在配置文件Snort.conf文件中，已经定义了很多变量，我们可以根据自己的需要修改。其中，HOME_NET、EXTERNAL_NET、 HTTP_PORT等变量非常关键。Snort用户可以定义在配置文件和规则集中使用的变量。
定义变量的语法
• 定义普通变量： var <变量名> <变量值> • 定义端口变量：
portvar <变量名> <变量值>
定义变量
• 例 var HOME_NET 192.168.1.0/24 alert ip any any -> $HOME_NET any (ipopts: lsrr; msg: “Loose source routing attempt”; sid: 1000001;)
定义变量
• 变量中使用变量值列表
var HOME_NET [192.168.1.0/24，192.168.10.0/24]
//不同的条目用逗号分隔
• 定义变量的时候，可以用网络接口名称
var HOME_NET $eth0_ADDRESS var EXTERNAL_NET $eth1_ADDRESS
动态Байду номын сангаас量
• 在定义变量的时候，我们可以使用“动态变量”，也就是在配置文件或附加包含文件中用已定义了的变量再去定义其他变量例如，假如我们定义了一个变量DMZ_WEB，那么接下来这个变量定义是有意义的： var EXTERNAL_WEB $DMZ_WEB
• 关键字any也可以成为一个变量。它匹配任何值，例如： var EXTERNAL_NET any
理解snort配置文件
• 我们可以通过配置文件来定义和应用适于大型或分布式环境需要的特性，这正是 Snort强大的原因之一。Snort配置文件允许用户定义变量，附加配置文件以及链接附加配置文件等。

Snort的配置与使用ppt课件

精品课件
33
1．预处理插件
它们的源文件名都是以spp_开头的，在规则匹配
（误用检测）之前运行，完成的功能主要分为以下几类。
模拟TCP/IP堆栈功能的插件：如IP碎片重组、TCP流重组插件。
各种解码插件：如HTTP解码插件、Unicode解码插件、 RPC解码插件、Telnet协商插件等。
上面的命令将启动snort，如果snort正常运行，系统最后将显示如下图所示
精品课件
21
精品课件
22
精品课件
23
精品课件
24
四、Snort的配置
配置snort.conf文件
④定制snort规则集。
精品课件
25
设置网络相关变量
Snort.conf中的主要环境变量有： var HOME_NET any 本地网络 var EXTERNAL_NET any 外地网络 var DNS_SERVER $HOME_NET var HTTP_SERVER $HOME_NET
例：
output database :log, mysql, user=westfox dbname=detector host=localhost password password=t123 port=1234
output database: alert, mysql, host=localhost user=snort password=snorttest dbname=snort encoding=hex detail=full
精品课件
13
需要了解的Mysql命令：
显示数据库列表:
show databases;
显示库中的数据表：
use mysql;

snort配置步骤

1．在Windows环境下安装snort。

（1）安装Apache_2.0.46①双击apache_2.0.46-win32-x86-no_src.msi，安装在文件夹C:\apache下。

安装程序会在该文件夹下自动产生一个子文件夹apache2。

②为了避免Apache Web服务器的监听端口与Windows IIS中的Web服务器的80监听端口发生冲突，这里需要将Apache Web服务器的监听端口进行修改。

打开配置文件C:\apache\apache2\conf\httpd.conf，将其中的Listen 80，更改为Listen50080。

如图3.34所示。

图3.34修改apache的监听端口③单击“开始”按钮，选择“运行”，输入cmd，进入命令行方式。

输入下面的命令：C:\>cd apache\apache2\binC:\apache\apache2\bin\apache –k install这是将apache设置为以Windows中的服务方式运行。

如图3.35所示。

图3.35Apache以服务方式运行（2）安装PHP①解压缩php-4.3.2-Win32.zip里面的文件至C:\php\。

②复制C:\php下php4ts.dll至%systemroot%\System32，复制C:\php下php.ini-dist 至%systemroot%\，然后修改文件名为：php.ini。

③添加gd图形库支持，把C:\php\extensions\ php_gd2.dll拷贝到%systemroot%\System32，在php.ini中添加extension=php_gd2.dll。

如果php.ini有该句，将此语句前面的“；”注释符去掉。

如图3.36所示图3.36修改php.ini配置文件④添加Apache对PHP的支持。

在C:\apache\apache2\conf\httpd.conf中添加：LoadModule php4_module "C:/php/sapi/php4apache2.dll"AddType application/x-httpd-php .php如图3.37和图3.38所示。

SNORT入侵检测系统实验ppt课件

• AddType application/x-httpd-php .php
经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用
5）重启APACHE。 6）在C:\ids\APACHE\htdocs目录下新建
5.安装ADODB 将ADODB解压缩至C:\ids\php5\adodb目录下即可。
6.安装配置数据控制台ACID。 1）将ACID解压缩至:C\ids\apache\htdocs\acid目录下。
2）修改该目录下的ACID_CONF.PHP文件，修改内容如下：经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用 $DBlib_path = "c:\ids\php5\adodb"; $DBtype = "mysql"; • $alert_dbname = "snort"; • $alert_host = "localhost"; • $alert_port = "3306"; • $alert_user = "acid"; • $alert_password = "acidtest";
2）进入Mysql控制台，建立SNORT运行必须的 SNORT数据库和SNORT_ARCHIVE数据库。
经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用
3）复制C:\ids\snort\schames下的create_mysql文件到 C:\ids\snort\bin下。 4）在命令行方式下分别输入和执行以下两条命令。

Snort入侵检测系统安装配置 10-27

Snort入侵检测系统安装配置1.实验目的实现流量监控，实现入侵检测2.拓扑图3.拓扑图介绍通过搭建snort检测系统，对局域网内的计算机进行流量监控，实现入侵检测4.实验原理5.实验步骤①、libpcap是linux平台下的网络数据包捕获的含书包，大多数网络监控软件都是以它作为基础在安装libpcap前，还要安装两个软件bison、flex[root@boss snort]#wget ftp:///gnu/bison/bison-2.4.1.tar.bz2[root@boss snort]#tar xf bison-2.4.1.tar.bz2[root@boss snort]#cd bison-2.4.1[root@boss snort]# ./configure && make && make install[root@boss snort]#wget/project/flex/flex/flex-2.5.35/flex-2.5.35.tar.bz2[root@boss snort]#tar xf flex-2.5.35.tar.bz2[root@boss snort]#cd flex-2.5.35[root@boss snort]#./configure && make && make install安装libpcap[root@boss snort]#wget /release/libpcap-1.0.0.tar.gz[root@boss snort]#tar zxvf libpcap-1.0.0.tar.gz[root@boss snort]#cd libpcap-1.0.0[root@boss snort]#./configure --prefix=/usr/local/libpcap[root@boss snort]#make && make install②、daq，snort编译时会用到该库[root@boss snort]#wgetftp:///sites//s/sn/snort.mirror/Snort%202.9.4/daq-2.0.0.t ar.gz[root@boss snort]#tar zxvf daq-2.0.0.tar.gz[root@boss snort]#cd daq-2.0.0[root@boss snort]#./configure && make && make install③、libdnet 通用网络安全开发包[root@boss snort]#wgetftp:///slacky/slackware-12.2/libraries/libdnet/1.11/src/libdnet-1.11.tar.gz [root@boss snort] #tar zxvf libdnet-1.11.tar.gz[root@boss snort] #cd libdnet-1.11[root@boss snort]#./configure && make && make install④、安装PCRE库[root@boss snort]# wget ftp:///pub/software/programming/pcre/pcre-8.34.tar.gz [root@boss snort]# tar zxvf pcre-8.34.tar.gz[root@boss snort]# cd pcre-8.34[root@boss snort]# ./configure && make && make install⑤、编译安装snort[root@boss snort]#wget /mirrors/snort/snort-2.9.2.1.tar.gz[root@boss snort]#cd snort-2.9.2.1[root@boss snort]#./configure --with-mysql=/usr/local/mysql--with-libpcap-includes=/usr/local/libpcap/include --with-libpcap-libraries=/usr/local/libpcap/lib [root@boss snort]#make && make install⑥、snort的相关配置[root@boss snort]#mkdir /etc/snort ------snort的主配置文件目录[root@boss snort]#mkdir /var/log/snort -------------snort的日志文件目录[root@boss snort]#groupadd snort ---------创建snort用户组[root@boss snort]#useradd -g snort -s /sbin/nologin snort ------------创建snort用户[root@boss snort]# wgetftp:///sites//s/sn/snorty/snortrules-snapshot-2920.ta r.gz[root@boss snort]# tar zxvf snortrules-snapshot-2920.tar.gz -C /etc/snort/[root@boss snort]#cd /etc/snort/[root@boss snort]#lsetc preproc_rules rules so_rules[root@boss snort]#cp etc/* /etc/snort/[root@boss snort]#chown snort.snort /var/log/snort----------修改相关目录的属主和属组[root@boss snort]#touch /var/log/snort/alert[root@boss snort]#chown snort.snort /var/log/snort/alert[root@boss snort]#chmod 600 /var/log/snort/alert ---------------防止其他用户修改[root@boss snort]#mkdir /usr/local/lib/snort_dynamicrules[root@boss snort]#cp/etc/snort/so_rules/precompiled/RHEL-6-0/x86-64/2.9.2.0/*.so /usr/local/lib/snort_dynamicrules/ -------------库文件[root@boss snort]#vim /etc/snort/snort.conf#修改下面这几行var RULE_PATH /etc/snort/rulesvar SO_RULE_PATH /etc/snort/so_rulesvar PREPROC_RULE_PA TH /etc/snort/preproc_rulesoutput unified2: filename snort.log, limit 128⑦、mysql数据库的修改[root@boss snort]#mysql –u root -p[root@boss snort]#mysql> create database snort; --------------创建snort数据库[root@boss snort]#mysql> grant all privileges on snort.* to snort@'localhost' with grantoption ; -------------给snort用户授权[root@boss snort]#mysql> set password for snort@localhost = password('123456'); --------这也是一种修改mysql用户密码的方式[root@boss snort]# cd /opt/snort/snort-2.9.2.1/schemas/[root@boss schemas]#mysql –u root –p < create_mysql snort[root@boss snort]#[root@boss snort]#[root@boss snort]#[root@boss snort]#⑧、Base解压[root@boss snort]#wget/projects/secureideas/files/BASE/base-1.4.5/base-1.4.5.tar.gz[root@boss opt]# tar zxvf base-1.4.5.tar.gz -C /usr/local/apache2/htdocs/yzx01com/[root@boss yzx01com]# mv base-1.4.5 base⑨、pear的安装（Pear是PHP扩展与应用库的缩写，它是一个php扩展及应用的一个代码仓库）[root@boss ~]# /usr/local/php5/bin/pear install mage_Graph-alpha Image_Canvas-alpha Image_Color Numbers_Roman Mail_Mime Mail //php编译安装在/usr/local/php5目录下[root@boss base]# cp world_map6.png world_map6.txt/usr/local/php5/lib/php/Image/Graph/Images/Maps //复制base文件到maps中⑩、安装adobd[root@boss snort]wget/project/adodb/adodb-php5-only/adodb-511-for-php5/adodb511.zip [root@boss opt]# unzip adodb511.zip[root@boss opt]# mv adodb5 /usr/local/apache2/htdocs/yzx01com/adodb/⑪、base的安装[root@boss yzx01com]#chown daemon.daemon /usr/local/apache2/htdocs/yzx01com/base/ -R 在浏览器中输入/base点击Continue选择简体中文，下面输入adodb的路径/usr/local/apache2/htdocs/yzx01com/ad odb/ 然后点击Continue填入相关的mysql信息，点击continue设置管理账号密码，点击continue可以看到红色部分表示成功，继续下一步点击 Now continue to step 5...就可以看到base界面了⑫、页面配置完成后，还需要安装一下图标的插件，这个时候就要求php必须得支持gd了如果想让BASE起作用还得需要安装一些插件，必须联网才能安装//php编译安装在/usr/local/php5目录下[root@boss ~]# /usr/local/php5/bin/pear install image_Canvas-alpha[root@boss ~]# /usr/local/php5/bin/pear install image_Graph-0.8.0[root@boss ~]# /usr/local/php5/bin/pear install Numbers_Roman⑬、测试snort再次修改snort的配置文件[root@boss ~]#vim /etc/snort/snort.conf将 511 # output database: alert, <db_type>, user=<username> password=<password> test dbname=<name> host=<hostname>512 # output database: log, <db_type>, user=<username> password =<password> test dbname=<name> host=<hostname>这地方一定要注意，如果使用的是snort-2.9.2.1版本，请你务必按照格式改，改版本存有bug，每一项后面都要加","而且之间不能有空格！要不然会报将 110 var WHITE_LIST_PATH /etc/snort/rules111 var BLACK_LIST_PATH /etc/snort/rules488 whitelist $WHITE_LIST_PATH/white_list.rules, \489 blacklist $BLACK_LIST_PATH/black_list.rules这四行注释掉，即在每行前面加#将下面三行的# 去掉594 include $PREPROC_RULE_PATH/preprocessor.rules595 include $PREPROC_RULE_PATH/decoder.rules596 include $PREPROC_RULE_PATH/sensitive-data.rules⑭、测试snort[root@boss ~]#snort -c /etc/snort/snort.conf如果可以看到这只小猪，那么就证明你成功了在这一步完成后，snort不会自己退出，需要使用ctrl+c自己终止退出。

Snort简介

Snort的使用
• -D 把snort以守护进程的方法来运行，默认情况下ALERT记录发送到/var/log/snort.alert文件中去。 -e 显示并记录2个信息包头的数据。 -F <bpf>从<bpf>文件中读BPF过滤器（filters），这里的filters是标准的BPF格式过滤器，你可以在TCPDump里看到，你可以查看 TCPDump的man页怎样使用这个过滤器。 -h <hn>设置网络地址，如一个C类IP地址192.168.0.1或者其他的，使用这个选项，会使用箭头的方式数据进出的方向。 -I <if> 使用网络接口参数<if> -l <ld> LOG信息包记录到<ld>目录中去。 -M <wkstn> 发送WinPopup信息到包含<wkstn>文件中存在的工作站列表中去，这选项需要Samba的支持，wkstn文件很简单，每一行只要添加包含在SMB中的主机名即可。（注意不需要\两个斜杠）。
Snort –v的效果
Snort –dv的效果
Snort的使用
• Snort是基于规则的模式匹配的，这种体系结构非常灵活，用户可以到 /dl/signatures/下载最新的规则，在上几乎每几天就会有新的规则被更新，同时用户也可以自己书写新的规则，Snort规则文件是一个ASCII 文本文件，可以用常用的文本编辑器对其进行编辑。
有关规则的编写
• 这个不是能一两句话讲清楚的 • 而且对于一般使用者来说，snort本身提供的规则包已经能满足很多需求了 •
安装完成Snort后
• • • • \doc\SnortUsersManual.pdf 写snort的大牛写的用户手册有进一步的信息可以参考翻译版本： /article/ids/sn ort/23783.html

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

DBlib_path = "C:\php\adodb";
$DBtype=”mysql”; $alert_dbname = "snort"; $alert_host = "localhost"; $alert_port = "3306"; $alert_user = "acid"; $alert_password = "acidpwd";
二、Snort软件的下载
下载snort
入侵检测的核心部分
下载winpcap或者libpcap
http://winpcap.polito.it/ 网络数据包截取驱动程序，用于从网卡中抓取数据
包
辅助软件：
/* Archive DB connection parameters */
$archive_dbname = "snort_archive"; $archive_host = "localhost"; $archive_port = "3306"; $archive_user = "acid"; $archive_password = "acidpwd";
几点说明
1. 在snort中有一脚本create_mysql，用于建立所有必要的表。
C:\mysql\bin>mysql –u root –p （Mysql>）create database snort; （Mysql>）quit （c:\mysql\bin>）Mysql –D snort –u root –p
<C:\snort\contrib\create_mysql
为用户分配权限
（mysql>）grant usage on *.* to acid@loacalhost identified by “acidPwd”;
(mysql>）grant select,insert,update,delete,create,alter on snort.* to acid@localhost;
基于libpcap的数据包嗅探器和日志记录工具 Snort采用基于规则的网络信息搜索机制，对数
据包进行内容的模式匹配，从中发现入侵和探测行为。 Martin Roesch→ ……→Snort Team Snort 2.9.7.6
1. Snort的组成
数据包解码器检测引擎日志和报警子系统
数据包记录器——数据包记录器模式把数据包记录到硬盘上。 ./snort –dev –l ./log
网络入侵检测系统——网络入侵检测模式是最复杂的，而且是可配置的。用户可以让Snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。
./snot –dev –l ./log –c snort.conf
修改为绝对路径：
iቤተ መጻሕፍቲ ባይዱclude C:\snort\etc\classfication.config include C:\snort\etc\reference. config
在该文件的最后加入下面语句：目的：将日志记录到数据库中
output database: alert,mysql,host=localhost user=snort password=snortpwd dbname=snort encoding=hex detail=full
数据包
数据包解码器
检测引擎
日志报警
2. Snort的工作模式（3种）
嗅探器数据包记录器网络入侵检测系统
4. Snort的工作模式（3种）
嗅探器——嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。 ./snort –v ./snort –vd ./snort –vde
Acid（Analysis Console for Intrusion Databases ）
基于PHP的入侵检测数据库分析控制台
ADOdb(ADOdb Database Abstraction Library)
Adodb库为PHP提供了统一的数据库连接函数
Apache
Windows版本的Apache Web 服务器
需要了解的Mysql命令：
显示数据库列表: show databases;
显示库中的数据表： use mysql; show tables;
建库与删库： create database 库名; drop database 库名;
激活和配置ACID
解压缩acid至apache安装目录的htdocs\acid目录下修改\htdocs\acid下的acid_conf.php文件
Jpgraph
PHP所用图形库
Mysql
Windows版本的Mysql数据库，用于存储snrot的日志，报警，权限等信息
PHP
Windows中PHP脚本的支持环境
三、 Windows环境下Snort的安装
ACID+snort的入侵检测系统
1. 搭建apache+PHP的运行环境 2. 安装snort和Winpcap 3. 安装MySQL 4. 安装ADOdb 5. 安装Jpgraph 6. 安装和配置ACID 7. 配置和启动snort
入侵检测技术
第六章 Snort的配置与使用
本章内容
Snort的安装与配置 Snort的总体结构分析 Snort的使用 Snort的规则使用Snort构建入侵检测系统实例
6.1 SNORT的安装与配置
3
一、Snort简介
snort 是一个用C语言编写的开放源代码的软件 Snort是一个跨平台的，轻量级的网络入侵软件，
$ChartLib_path=”C:\php\jpgraph\src”;
http://127.0.0.1:50080/acid/acid_db_setup.php
配置并启动snort
打开C:\snort\etc\snort.conf文件，将文件中的下列语句： include classification.config include reference.config